首页
社区
课程
招聘
HTML5隐私安全:电源API允许通过JavaScript读取他人的电池状态信息
发表于: 2015-8-5 16:54 1891

HTML5隐私安全:电源API允许通过JavaScript读取他人的电池状态信息

2015-8-5 16:54
1891
新闻链接:http://bobao.360.cn/news/detail/1880.html
新闻时间:2015-08-05 14:46:53
新闻正文:

   网站的站长们一直都热衷于追踪网民的上网行为,但是由于AdBlock等插件的存在,原本追踪用户的方法已经不再适用了。现在,他们可以通过查看用户设备的电池状态信息来识别和跟踪用户。

这是如何实现的呢?因为W3C在HTML5中添加了一个功能,而这个功能允许网站去访问用户设备的电池状态信息。

根据安全研究人员提交给国际密码研究协会的报告,他们认为:“电池状态API会在未经用户允许或用户毫不知情的情况下,将用户的个人数据泄漏出来。”研究人员还补充说到:

我们的研究表明,网站可以通过利用Linux平台的Firefox浏览器所提供的高精度数据功能来读取用户的电池容量信息。电池的容量以及它的健康状况都会暴露出用户的使用习惯,这些数据都可以用来在很短的时间内对网站用户进行跟踪。我们的研究和分析表明,如果用户所使用的电池非常的旧,而且电池容量也有所降低,那么此类用户的安全风险将会增加,因为电池的容量信息可以作为一个跟踪用户的标识符。

W3C提出这一想法的目的原本是为了给用户提供更加方便的服务,因为服务器会检测用户的电池状态,如果用户的电量处于一个非常低的状态,那么服务器就会给访问网站的用户提供一个更加轻便,CPU耗能更少的网页页面。因此,只有电量充足的用户才会得到布满了Web 2.0各种组件的网站页面。

研究人员在报告[PDF] http://eprint.iacr.org/2015/616.pdf  中写到:“虽然这样的机制存在潜在的隐私问题…早在2012年,当这个电池API问世的时候,Mozilla公司以及Tor浏览器的开发者们就对这个问题进行了激烈的讨论,无论是这个API还是火狐浏览器,都经历了重大的版本修订。”

火狐浏览器,谷歌Chrome以及Opera浏览器都启用了这个API,但是微软的IE浏览器以及苹果的Safari都没有使用这个API。今年1月,研究人员将他们所发现的隐私问题报告给了火狐浏览器的制造商Mozilla公司,该公司于今年6月为他们的火狐浏览器发布了更新补丁。

网站的管理人员可以使用JavaScript脚本来调用navigator.getBattery()方法,从而获取电池的各项数据信息,网站可以获取到的电池属性包括电池健康水平,充电时间,放电时间等信息。

研究人员表示,他们已经确定了1千4百多万种可能的电池API属性组合:将近4万种可能的电池放电时长,以及90种可能的电池状态。

由于电池状态信息每30秒才会更新一次,这对于网站 来说,足够他们去验证和追踪用户了,即便是网站的用户采用了各种各样的保护措施。

研究人员还在报告中写到:“当用户在很短的时间间隔内连续访问了某一网站,那么该网站就可以通过电池的健康水平以及充电/放电的时间来识别新老用户的身份。然后,网站便可以重新实例化用户的cookies以及其他客户端的验证信息。”

“但是,请大家注意,尽管这种利用电池信息作为标识用户的方法只能在短时间间隔内进行使用,但是它也可以用来对付那些不清理cookies数据的用户。”

IETF全称为国际互联网工程任务组,这是一个由为互联网技术工程及发展做出贡献的专家自发参与和管理的国际民间机构。它汇集了与互联网架构演化和互联网稳定运作等业务相关的网络设计者、运营者和研究人员,并向所有对该行业感兴趣的人士开放。该组织去年发表的言论认为:“大范围无限制的监视行为实际上就是一种攻击”,那么从这个事件来看,W3C以后可以与IETF进行长期的合作了。

本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:http://news.hitb.org/content/mobile-batteries-become-prime-target-hackers

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//